PHP论坛不安全 国内双雄出问题
2018-06-11 来源:
Discuz!论坛拥有五年以上的应用历史,是全球成熟度最高、覆盖率最大的论坛软件系统之一。然而在其发布的5.0.0版本中又爆出新隐患,只要在地址栏处输入一段代码就会使论坛报错并显示出网站真实的物理地址!
问题根源??Discuz!论坛中出现缺陷,非法用户可以通过修改页面地址获得论坛文件存储的真实物理地址,为入侵探测做好准备。(如图1)
图1
受影响版本??除了最新的Discuz! 5.0.0外4.0中也会出现此问题。
解决办法??需要编辑config.inc.php文件来解决此问题。在config.inc.php里的“$errorreport = 1”处修改这个设置为0。然后在php.ini里
“display_errors =”处设置为Off,最后打开论坛include目录下的common.inc.php将$extra = isset($extra) && preg_match修改为改成
$extra = isset($extra) && @preg_match。
与此同时同样是PHP论坛中佼佼者的PHPWIND也出现了问题,1月21日刚刚进行完官网论坛程序升级的phpwind,在第二天就被黑客组织x.25 Team攻陷,并在页面上留下:So Funny Bug___just a warning字样以示警告。(如图2)
图2
PHPWIND官方站点也在第一时间将出问题的页面进行了修改,并关闭了论坛。到22日上午PHPWIND官方论坛已经恢复。至于究竟是什么漏洞造成本次入侵,PHPWIND没有发布任何消息。笔者认为他们正在开发针对此问题的补丁,新补丁程序会在最近发布。
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。